Forscher von LevelBlue Labs haben eine neue Taktik entdeckt, bei der Bedrohungsakteure legitime Antivirus-Software für bösartige Zwecke kapern.

Dieser ausgeklügelte Angriff nutzt ein Werkzeug namens SbaProxy, das sich als legitime Antivirus-Komponente tarnt, um Proxy-Verbindungen über einen Command-and-Control (C&C)-Server herzustellen.

SbaProxy ist ein neues Werkzeug im Arsenal der Bedrohungsakteure, das in der Lage ist, Proxy-Verbindungen herzustellen, die zur Einnahmenerzielung genutzt werden können.

Das Werkzeug wird in verschiedenen Formaten verbreitet, darunter DLLs, EXEs und PowerShell-Skripte, was seine Erkennung aufgrund seines legitimen Erscheinungsbilds und seiner raffinierten Gestaltung erschwert.

Bedrohungsakteure modifizieren legitime Antivirus-Binärdateien, um sie für bösartige Zwecke zu nutzen, während sie ihr Erscheinungsbild als harmlose Software beibehalten. Dies macht die Erkennung schwierig, da die bösartigen Binärdateien mit gültigen oder scheinbar gültigen Zertifikaten signiert sind und so Sicherheitsüberprüfungen umgehen. Zu den betroffenen Antivirus-Produkten gehören Malwarebytes, BitDefender und APEX-Produkte.

Ein Beispiel dafür ist ein Zertifikat mit dem Fingerabdruck „DCB42EF087633803CD17C0CD6C491D522B8A2A“, das auf den Namen „STERLING LIMITED“ ausgestellt wurde. Dieses Zertifikat ist derzeit gültig und wird verwendet, um einige der in dieser Kampagne eingesetzten Muster zu signieren. Es wird angenommen, dass der Bedrohungsakteur dieses Zertifikat erworben hat, um seine Aktivitäten durchzuführen, da das Ausstellungsdatum mit der Zeitlinie der Kampagne übereinstimmt.

Technische Analyse

LevelBlue Labs beobachtete im Juni verdächtige Aktivitäten, die von scheinbar legitimen Antivirus-Binärdateien ausgingen. Bei der Untersuchung stellte sich heraus, dass diese Aktivitäten mit einem neuen Werkzeug verbunden waren, das bereits im April von Sophos in einer Kampagne gemeldet wurde. Dies markiert eine neue Iteration im Werkzeugsatz dieses Bedrohungsakteurs.

Ein als BitDefender-Logging-DLL getarntes Muster wurde analysiert. Die exportierten Funktionen in der bösartigen DLL waren identisch mit denen der Original-DLL, mit Ausnahme einer modifizierten Funktion, ‚LogSetMode‘. Diese Funktion wurde durch eine jmp-Anweisung zu einer anderen Adresse ersetzt, die entschlüsselten und gebündelten XOR-verschlüsselten Shellcode ausführt.

Die Payload-Entschlüsselungsfunktion enthält eine sinnlose Schleife, die mehrere lokale Variablen auf einen fest codierten Wert setzt, und zwar 448.840 Mal wiederholt. Dies ist eine rudimentäre Form der Umgehung von Erkennungsmethoden, die auf Emulation basieren.

Nach Abschluss der Schleife überprüft der Code den Wert einer der gesetzten Variablen und stürzt ab, wenn dieser nicht dem erwarteten Wert entspricht. Der Code reserviert dann Speicher für die Payload, entschlüsselt sie mit einem fest codierten mehrbyteigen XOR-Schlüssel und führt sie aus.

Die initiale Kommunikation mit dem C&C-Server umfasst eine Reihe von Aufrufen der ’send‘-Funktion mit Null-Inhalt und Längen von 16, 4 und 0 Bytes. Dies ist wahrscheinlich eine magische Sequenz, um sicherzustellen, dass der C&C nur auf den bösartigen Client antwortet. Nach Durchführung dieser Sendeserie empfängt der Client 16 Bytes vom C&C und sendet diese zurück an den Server über einen neuen Socket. Diese neuen Verbindungen werden in einer iterativen Schleife durchgeführt, die mehrere parallele aktive Verbindungen ermöglicht.

Diese Angreifer kapern legitime Antivirus-Software, um der Erkennung zu entgehen, indem sie gültige Zertifikate verwenden und bösartige Binärdateien erstellen, die legitimen ähneln, was die Bedrohungserkennung erschwert. Da Cyberkriminelle immer innovativer werden, müssen Organisationen wachsam und proaktiv in ihren Verteidigungsmaßnahmen bleiben.

LevelBlue Labs hat Erkennungsmethoden entwickelt, um diese Bedrohung zu identifizieren und zu bekämpfen. Dazu gehören SURICATA-IDS-Signaturen, die auf spezifische Kommunikationsmuster mit dem C&C-Server reagieren. Die zugehörigen Indikatoren für Kompromittierungen (IOCs) sind im OTX Pulse verfügbar.